Linux GRUB 加密：保护系统启动安全的完整指南

目录#

什么是 GRUB？
为什么需要加密 GRUB？
加密前的准备工作
GRUB 加密的完整实现步骤
- 4.1 生成密码哈希
- 4.2 编辑 GRUB 配置文件
- 4.3 配置认证级别
- 4.4 更新 GRUB 配置
- 4.5 测试加密效果
常见实践
最佳实践
故障排除
参考资料

1. 什么是 GRUB？#

GRUB 是 Linux 系统中最常用的引导加载程序，其主要作用是：

在计算机启动时显示引导菜单，列出可启动的操作系统（如 Linux、Windows）；
根据用户选择加载对应的内核和初始化文件系统（initramfs）；
允许用户修改内核参数（如 single 单用户模式、rw 读写权限等）。

目前广泛使用的是 GRUB 2（GRand Unified Bootloader version 2），它支持多系统引导、动态配置和模块化设计，几乎所有主流 Linux 发行版（如 Ubuntu、Debian、CentOS、Fedora）均默认采用。

2. 为什么需要加密 GRUB？#

未加密的 GRUB 存在以下安全风险：

单用户模式绕过：通过在引导菜单中编辑内核参数，添加 single 或 init=/bin/bash，可直接进入无需密码的 root 权限模式；
内核参数篡改：修改内核参数（如禁用 SELinux/AppArmor、挂载其他分区）可能导致数据泄露或系统被篡改；
物理访问攻击：任何人接触到计算机后，可通过引导菜单直接操作系统，无需经过用户登录环节。

GRUB 加密通过密码验证阻止未授权用户修改引导选项或启动系统，是物理安全防护的重要环节（尤其适用于笔记本、公共服务器等易被物理接触的设备）。

3. 加密前的准备工作#

在开始加密 GRUB 前，请确保：

备份当前 GRUB 配置：防止操作失误导致系统无法启动。

sudo cp /etc/default/grub /etc/default/grub.bak
sudo cp -r /etc/grub.d/ /etc/grub.d.bak/

安装 GRUB 工具：确保系统已安装 grub2-common（Debian/Ubuntu）或 grub2-tools（RHEL/CentOS）：
```
# Debian/Ubuntu
sudo apt install grub2-common
# RHEL/CentOS
sudo dnf install grub2-tools
```
拥有 root 权限：所有操作需以 root 用户执行。
准备强密码：建议使用 12 位以上包含大小写字母、数字和特殊符号的密码。

4. GRUB 加密的完整实现步骤#

4.1 生成密码哈希#

GRUB 不存储明文密码，而是使用 PBKDF2 哈希算法（带盐值的迭代哈希）存储密码。通过 grub-mkpasswd-pbkdf2 工具生成哈希：

sudo grub-mkpasswd-pbkdf2

执行后按提示输入密码并确认，输出结果类似：

Enter password: 
Reenter password: 
PBKDF2 hash of your password is grub.pbkdf2.sha512.10000.5A3B7D1E...（省略部分哈希值）

保存哈希值（以 grub.pbkdf2.sha512 开头的部分），后续配置需用到。

4.2 编辑 GRUB 配置文件#

GRUB 的配置通过 /etc/grub.d/ 目录下的脚本生成，推荐在 /etc/grub.d/40_custom 中添加密码配置（该文件用于用户自定义设置，升级 GRUB 时不会被覆盖）。

编辑 40_custom：

sudo nano /etc/grub.d/40_custom

在文件末尾添加以下内容（替换为你的哈希值和用户名，用户名为自定义标识符，如 grubuser）：

set superusers="grubuser"  # 定义超级用户（用于认证）
password_pbkdf2 grubuser grub.pbkdf2.sha512.10000.5A3B7D1E...（你的哈希值）

superusers：指定允许管理 GRUB 的用户（可自定义名称）；
password_pbkdf2：指定用户的哈希密码。

4.3 配置认证级别#

GRUB 加密可细分为两种认证场景，根据需求选择：

场景 1：仅限制“编辑引导选项”（推荐）#

允许用户正常启动系统，但修改引导菜单（如按 e 编辑）时需输入密码。
修改 /etc/default/grub，添加：

GRUB_DISABLE_RECOVERY="true"  # 禁用恢复模式（可选，增强安全性）

场景 2：限制“启动系统”和“编辑选项”#

要求用户输入密码才能启动任何系统（包括默认项）。
需在引导菜单条目（menuentry）中添加 --users grubuser（指定允许启动的用户）。
例如，在 40_custom 中添加自定义引导条目时：

menuentry "My Linux" --users grubuser {
    set root=(hd0,1)
    linux /vmlinuz root=/dev/sda1 ro
    initrd /initrd.img
}

注意：若需限制所有默认引导条目（如系统自动生成的内核条目），需修改 /etc/grub.d/10_linux 等脚本，在 menuentry 后添加 --users grubuser。但此方法可能在系统更新内核时被覆盖，需谨慎操作。

4.4 更新 GRUB 配置#

修改配置后，需通过 grub-mkconfig 生成最终的 grub.cfg（位于 /boot/grub/grub.cfg 或 /boot/efi/EFI/[发行版]/grub.cfg）：

# Debian/Ubuntu
sudo update-grub
# RHEL/CentOS/Fedora
sudo grub2-mkconfig -o /boot/grub2/grub.cfg  # BIOS 启动
# 或（UEFI 启动）
sudo grub2-mkconfig -o /boot/efi/EFI/centos/grub.cfg

提示：update-grub 是 grub-mkconfig -o /boot/grub/grub.cfg 的别名（Debian 系专用）。

4.5 测试加密效果#

重启系统，观察 GRUB 引导菜单：

场景 1：选择条目后直接启动，按 e 编辑时提示输入用户名和密码；
场景 2：选择任何条目均提示输入用户名和密码，验证通过后才启动。

若提示“认证失败”，检查密码哈希是否正确或重新生成哈希。

5. 常见实践#

区分“编辑”和“启动”权限：多数场景下，仅限制“编辑引导选项”即可（避免每次启动都输入密码，平衡安全性与便利性）。
多用户支持：可添加多个 password_pbkdf2 条目定义不同用户（如 admin、operator），并通过 --users 指定允许操作的用户。
隐藏引导菜单：修改 /etc/default/grub 中的 GRUB_TIMEOUT=0 隐藏菜单，需按 ESC 键才能调出，减少被发现的风险。

6. 最佳实践#

结合全盘加密：GRUB 加密仅保护引导过程，需配合 LUKS 全盘加密（如 / 分区加密），防止物理设备被挂载后直接读取数据。
定期更新 GRUB：修复 GRUB 自身漏洞（如 CVE-2020-10713 等），通过 apt upgrade 或 dnf update 更新。
避免明文存储密码：永远不要在配置文件中写明文密码，必须使用 grub-mkpasswd-pbkdf2 生成哈希。
备份哈希值：将生成的密码哈希存储在安全位置（如密码管理器），避免遗忘后无法恢复。
限制物理访问：GRUB 加密无法防御 BIOS/UEFI 级别的攻击（如修改启动顺序从 USB 启动），需在 BIOS 中设置密码并禁用外部设备启动。

7. 故障排除#

问题 1：忘记 GRUB 密码，无法启动系统#

解决：通过 live CD 修复：

从 Linux 启动盘启动，挂载系统根分区：
```
sudo mount /dev/sdaX /mnt  # sdaX 为根分区
```
编辑 40_custom 移除密码配置：
```
sudo nano /mnt/etc/grub.d/40_custom
```

更新 GRUB 配置：

sudo chroot /mnt
update-grub  # 或 grub2-mkconfig -o /boot/grub2/grub.cfg
exit

重启系统。

问题 2：更新内核后 GRUB 加密失效#

原因：系统自动生成新的引导条目时未添加 --users 限制。
解决：修改 /etc/grub.d/10_linux，在 menuentry 行添加 --users grubuser（需谨慎，建议通过 40_custom 自定义条目）。

问题 3：输入密码后提示“invalid password”#

原因：哈希值错误或用户名不匹配。
解决：重新生成哈希，确保 superusers 名称与 password_pbkdf2 后的用户名一致。

8. 参考资料#

通过本文的步骤，你已成功为 GRUB 配置了密码保护，有效提升了系统的物理安全防护能力。记住，安全是一个持续过程，需结合多种措施（如全盘加密、BIOS 密码、定期更新）构建完整的防御体系。